Kleine Mac-Notizenergänzung wegen bekanntem Java-Exploit

Kleine Mac-Notizenergänzung wegen bekanntem Java-Exploit

Tags:

Bedingt der aktuellen Meldungen 1, dass sich nun auch ein Trojaner (mit dem kunstvollen Namen Trojan-Downloader:OSX/Flashback.I) für den Mac verbreitet, gibt es nun auch Hilfestellung von Apple, um zumindest das entsprechende Java-Loch zu stopfen.

Also unbedingt die Softwareaktualisierung starten, um hier schnell keine Voraussetzungen mehr zu geben, damit sich solch ein Übeltäter einnisten kann. Ein schon befallenes System wird hierdurch leider nicht gesäubert. Hier bietet F-Secure 2 eine Prozedur an.

Laut Beschreibung von F-Secure, wird eine Verbindung zu einem Server aufgebaut, nachdem sich der Trojaner einnisten konnte (ein Besuch einer manipulierten Webseite soll schon ausreichen). Hier könnten Little Snitch und Alternativen 3 Alarm schlagen. Aber als Java-Komponente getarnt, wird es nicht immer sofort plausibel sein, dass hier ein Übeltäter am Werk ist. Zudem überprüft wohl der Trojaner nicht ohne Grund, welche Anti-Viren-Programme installiert sind und ob halt auch Little Snitch vorhanden ist. Außerdem soll sich der Administrator-Legitimationsdialog zeigen, wenn der Trojaner versucht Systeminterna zu ändern.

Und hier kommt das ins Spiel, was ich immer predige, nämlich als Standardbenutzer mit seinem Mac zu arbeiten. Ich weis, dass viele mit einem Administratorkonto unterwegs sind, und daher habe ich meine Mac-Notizen dahingehend erweitert, hier einen einfachen Umstieg zu gestalten. Denn die Chance ist größer, dass sich solch ein Dialog zeigt, wenn man nicht gerade alle Systemberechtigungen besitzt.

Sollte also ein Legitimationsdialog aus heiterem Himmel erscheinen, dann bitte mal die Augenbrauen nach oben bringen. Leider versucht wohl der Trojaner weitere Mechanismen zu nutzen, wenn selbst keine Legitimation erfolgt.

Wie nun erkannt werden kann, ob nicht schon etwas am werkeln ist, wird im besagten Bericht von F-Secure beschrieben. Ein paar Eingaben im Terminal sollen hier weitere Erkenntnisse bringen. Ein anderer Weg wird wohl sein zu prüfen, welche Komponente eine Netzwerkverbindung zu einer der bekannten TCP/IP-Adressen aufbaut (evtl. mit Hilfe von Little Snitch, Alternativen oder einem Netzwerkmonitor wie Private Eye). Ein weiterer Weg ist vermutlich zu vergleichen, ob laut Bericht bekannte Dateien vorhanden sind.

Ich hoffe, dass bald sicherer Entfernungsprogramme angeboten werden. Denn bei einem Infekt, bleibt aus meiner Sicht meist nur der Weg der kompletten Neuinstallation des Systems, um nicht vom Trojaner nachgeladene unbekannte Schadprogramme zu übersehen.

[Update]
Mittlerweile wird ein weiteres Java-Update samt Entfernungstool direkt von Apple angeboten.